Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mozilla ondersteunt tweetrapsauthenticatie voor Firefox-accounts

Mozilla is begonnen met het ondersteunen van tweetrapsauthenticatie voor Firefox-accounts. Tot nu toe konden gebruikers het account dat de browser gebruikt voor het synchroniseren van data alleen beveiligen met een wachtwoord.

Mozilla maakt gebruik van Time-based One-Time Password voor tweetrapsauthenticatie. Daardoor werkt het met verschillende systemen voor het genereren van codes, schrijft de browserbouwer. Gebruikers kunnen onder meer Google Authenticator, Duo en Authy gebruiken om de codes te genereren.

Ook krijgen gebruikers codes om toegang tot het account te herstellen als ze niet meer bij hun authenticatie-toepassing kunnen. Mozilla adviseert gebruikers om die codes op een veilige plek te bewaren.

Firefox-gebruikers kunnen tweetrapsauthenticatie aanzetten in de instellingen van de browser. Als er onder Account Beheren geen optie verschijnt, is het mogelijk om "&showTwoStepAuthentication=true" toe te voegen aan de url om de optie te laten verschijnen.

Door Arnoud Wokke

Redacteur mobile

23-05-2018 • 21:03

34 Linkedin Google+

Submitter: HKLM_

Reacties (34)

Wijzig sortering
Beetje een n00b vraag, maar hoe veilig is hiermee de passwordmanager van Firefox?
Je kunt de passwordmanager alleen lokaal gebruiken, dan maakt het niets uit. Als je een Firefox-account hebt waarin je de passwordmanager gebruikt (dus: je wachtwoorden vanaf verschillende computers kunnen benaderen), wordt het hiermee iets veiliger: hackers hebben niet genoeg aan alleen het bruteforcen van je wachtwoord.

Maar in beide gevallen is het niet echt veilig: als de passwordmanager geactiveerd is, kunnen malafide websites en malware wachtwoorden uitlezen.

[Reactie gewijzigd door Krulliebol op 24 mei 2018 14:02]

Waar het niets aan toevoegt, is hoe veilig je wachtwoorden bij Mozilla zijn opgeslagen. Je hebt nog steeds geen idee hoe makkelijk die servers hackbaar zijn, in hoeverre ze de wachtwoorden encrypten op hun systeem, en hoe makkelijk Mozilla-medewerkers die wachtwoorden kunnen inzien.
Nice, meteen ingeschakeld :) Ik wil als het even kan op al mijn accounts tweetraps authenticatie hebben.
Ik niet, je blijft overal wachtwoorden intikken en op je telefoon meldingen wegtikken. Browser onthoudt gebruikersnaam en wachtwoord en ik blijf gewoon ingelogd.
Eh, als ik inlog bij sync, dan moet ik daarna via een link in mijn mail de aanmelding bevestigen. Hoe noemen ze dat dan als het geen tweetraps is?
De definitie: Two-factor authentication is dat beide niet over zelfde medium gaat.

Een email gaat over hetzelfde medium dus is niet veel "veiliger".

Terwijl het afvangen van je SMS om je TAN code van je ING af te vangen al zo specifiek gericht is dat men je specifiek moet hebben en kosten/baten/energie tegen "kwaadwillende" werkt.
TFA is inloggen met iets dat je weet en iets dat je hebt. Dat kan verschillende vormen aannemen. Maar het probleem is dat het bij de meeste aanbieders alleen maar gerommel met codes toevoegt en weinig of geen security toevoegt ná het inloggen. SMS is uiterst onveilig, omdat het als cleartext door de lucht wordt geslingerd. E-mail is dan veel veiliger, mits je een fatsoenlijke provider hebt.

Bij ABN-AMRO log je in met je pinpas, dus je hebt feitelijk een smartcard-login. Dat is pas veilig.
Zonder pincode (iets dat je weet) kom je er niet in en zonder pas (iets dat je hebt) ook niet. En geien pincode en pas op een "natuurlijke" manier bij elkaar horen, ervaar je het niet als gerommel.
Nee. Is me opgevallen dat in recente security boekjes het zo is opgeschreven.

De tweede authenticatie methode slaat niet per definitie op wat je hebt of wat je bent (biometrie).

Sterker nog wat je hebt is meestal een response na een challenge of een one time password. In beide gevallen heb jij dat algoritme niet. Dus relatief gesproken is dat veel onveiliger dan een SMS waarvoor je fysiek moeite moet doen en derhalve niet schaalbaar en daardoor onwaarschijnlijk is dat ze dat in eenvalsvector gaan gebruiken.

Net zo min dat biometrie een oplossing kan zijn in een situatie waarbij kwaadwillende enige tijd fysiek ergens bij kan zijn.
Nouja, uiteindelijk stuur je niet 1x maar 2x een code naar de server, dus met die gedachte is het niet veiliger. Biometrie is ook digitaal opgeslagen als een vaste code, dus nauwelijks beter dan een wachtwoord. Biometrie is dan zelfs een wachtwoord dat je niet kunt wijzigen.
Nooit bij stilgestaan dat dit nog niet kon in Firefox, en eigenlijk ook best vreemd dat het zo lang heeft moeten duren terwijl ze altijd zo op security en privacy hameren. Wel mooi natuurlijk dat het nu kan, dus maar even instellen binnenkort :)
Sinds Firefox 60 ondersteund Firefox WebAuthn... raar dat dit dan weer niet werkt voor Firefox accounts.
Nice, meteen ingeschakeld
Dit zou eigenlijk een verplichting moeten worden voor alle applicaties, webbased of niet.
Hoe wil je dat doen met applicaties die 0% internet nodig hebben?
Je hoeft toch geen internet te hebben om 2FA te activeren? De tweetraps bevestiging hoeft namelijk niet per e-mail, sms verstuurd te worden. Ooit gehoord van Google Authenticator?
Google Authenticator werkt via internet. Hoe anders denk je dat een applicatie je code kan verifieren?
Oh crap. Niet bij stilgestaan.
Aanrader voor password management: LastPass.
Recent overgestapt van LastPass naar Dashlane, kan ik aanraden. Werkt beter, vooral op Desktop.
Dit. Reden: gratis, open source, geaudit door externen, en je kan je eigen server hosten en dat maken ze bijzonder gemakkelijk met een docker container.

[Reactie gewijzigd door InflatableMouse op 24 mei 2018 09:53]

https://www.pcworld.com/a...erability.html#tk.rss_all

Voordeel van Google CHROME en Firefox is dat zoveel mensen het gebruiken dat de kans dat je wachtwoord daadwerkelijk misbruikt zal worden nihil is.
Een artikel van een jaar oud? Echt?
Omdat ze regelmatig in het verleden problemen hebben gekend wil niet zeggen dat ze in de toekomst gevrijwaard zijn.

https://androidworld.nl/a...toegankelijkheid-functie/
Ja, heel verstandig, om je meest persoonlijke en meest gevoelige gegevens op te slaan bij een partij waarvan je niet weet (niet KUNT weten) hoe betrouwbaar ze zijn. Dat geldt natuurlijk voor alle cloud-based password managers.

Ik gebruik gewoon KeePass. Dikke verslueteling op de database is standaard, en ik sync met m'n Google Drive. Zo weet ik zeker dat Google niet bij mijn wachtwoorden kan - alleen ik omdat alleen ik het wachtwoord weet.
Nog geen Yubikey support dus. Moet nu wel (makkelijk(er)) mogelijk zijn met de laatste versie volgens mij.
Jawel:

https://www.yubico.com/20...o-u2f-in-firefox-quantum/

onderaan:
5.9.18 Update - Firefox 60 is the first browser to support the new security standard, FIDO2, Web Authentication (WebAuthn) and U2F.
en voor Quantum kon je deze gebruiken:

https://addons.mozilla.or...addon/u2f-support-add-on/

Wat betreft Firefox/Mozilla zelf werkte dit inderdaad niet, maar met een wachtwoordmanager kun je een dusdanig complex wachtwoord gebruiken dat deze niet is te bruteforcen en niet wordt hergebruikt.

[Reactie gewijzigd door Jerie op 23 mei 2018 21:26]

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True